インシデントを調査する

  • 4 分

[インシデント] ページには、次の情報とナビゲーション リンクが表示されます。

インシデントの概要

[概要] ページでは、そのインシデントに関して最も注目すべき点の概略が表示されます。

Screenshot of the Incident overview pane.

攻撃のカテゴリを使用すると、攻撃がキル チェーンに対してどの程度進んでいるかを視覚および数値で把握することができます。 Microsoft の他のセキュリティ製品と同様に、Microsoft Defender XDR は、MITRE ATT&CK™ フレームワークに準拠しています。

[スコープ] セクションには、このインシデントに関係する資産のうち、影響の大きさが上位のものの一覧が表示されます。 リスク レベル、調査の優先度、資産のタグ付けなど、この資産に関する特定の情報がある場合は、それもこのセクションに表示されます。

アラートのタイムラインには、アラートが発生した時系列順と、アラートがこのインシデントにリンクされた理由の一部が表示されます。

最後に、[証拠] セクションには、インシデントに含まれていたさまざまなアーティファクトの数とその修復状態の概要が示されます。そのため、こちらで何か対処が必要かどうかをすぐに確認できます。

この概要では、インシデントについて、注意する必要がある特性として上位に位置するもの分析情報を得ることができ、インシデントの初期のトリアージに役立ちます。

アラート

インシデントに関連するすべてのアラートと、重要度、アラートに関係しているエンティティ、アラートの発生元 (Microsoft Defender for Identity、Microsoft Defender for Endpoint、Microsoft Defender for Office 365)、およびそれらが一緒にリンクされた理由などのその他の情報を確認できます。

既定では、アラートは時系列順に並べられます。これにより、攻撃がどのように実行されたかの時系列を一目で確認できます。 各アラートをクリックすると、関連するアラートのページが表示されます。ここで、アラートの詳細な調査を行うことができます。

デバイス

[デバイス] タブには、インシデントに関連するアラートが発生しているすべてのデバイスが一覧表示されます。

攻撃が行われたコンピューターの名前のリンクをクリックすると、その [デバイス] ページに移動します。 [デバイス] ページでは、トリガーされたアラートと関連イベントを確認でき、調査を容易に進めることができます。

ユーザー

特定のインシデントに含まれている、または関連することが特定されたユーザーが表示されます。

ユーザー名をクリックすると、ユーザーの [Microsoft Defender for Cloud Apps] ページに移動し、さらに調査できます。

メールボックス

インシデントに含まれる、または関連することが特定されたメールボックスを調査します。

アプリケーション

インシデントに含まれる、または関連することが特定されたアプリを調査します。

調査

このインシデントのアラートによってトリガーされた自動調査をすべて表示するには、[調査] を選択します。 調査によって修復アクションが実行されるか、またはアナリストがアクションを承認するまで待機します。

調査と修復の状態に関する詳細情報を得るには、調査を選択してその調査の詳細ページに移動します。 調査の一環として、承認待ちの処理がある場合は、[保留中の操作] タブに表示されます。

証拠と応答

Microsoft Defender XDR では、アラートに含まれるすべてのインシデントのサポート対象イベントと疑わしいエンティティが自動的に調査され、重要なファイル、プロセス、サービス、メールなどに関する自動応答と情報が提供されます。 これにより、インシデントの潜在的な脅威を迅速に検出してブロックすることができます。

分析された各エンティティは、判定 (悪意のある、疑わしい、クリーン) と修復状態でマークされます。 これは、インシデント全体の修復状態と、さらに修復するための次のステップを把握するのに役立ちます。

Graph

グラフにより関連するサイバーセキュリティの脅威情報がインシデントに視覚化されるため、さまざまなデータ ポイントからのパターンと相関関係を確認できます。 このような相関関係は、インシデント グラフで確認できます。

このグラフは、サイバーセキュリティ攻撃のストーリーを示しています。 たとえば、これはエントリ ポイントを示し、侵害またはアクティビティの指標がどのデバイスで検出されたかなどを示します。

インシデント グラフの円を選択すると、悪意のあるファイルの詳細、関連付けられているファイルの検出、世界中で見られる事例の数、自分の組織で監視されたことがあるかどうか、そうである場合は事例の数などを表示できます。